Intel AMT 发现新漏洞,只要 30 秒骇客就可掌控你的电脑

Intel AMT 发现新漏洞,只要 30 秒骇客就可掌控你的电脑

屋漏偏逢连夜雨,2018 年对 Intel 可说流年不利,面对 CPU 的 Meltdown 和 Spectre 漏洞急于推出解决方案,现在又被资安人员发现 AMT 也有严重漏洞,攻击者不用 30 秒就可以得逞,全球数百万台商务笔记型电脑都有可能沦陷。

来自芬兰的网路资讯安全公司 F-Secure 报告,Intel 主动管理技术(Active Management Technology,缩写 AMT)中有不安全和误导性的预设行为,允许骇客可在本地端绕过正规登入流程,在 30 秒内完全控制目标笔电,之后就可让骇客在同一有线、无线网路对目标电脑做进行远端监控甚至操控,纵使你有 BIOS 或 BitLocker 密码及 TPM pin 码保护也防不胜防。

AMT 是商用电脑的 Intel 晶片组功能,让企业 IT 管理者能妥善管理广大的设备,方便远端管理、维修组织内的个人电脑、工作站、伺服器。

虽然过去资安研究人员也曾发现一些严重的 AMT 漏洞,但最近发现的漏洞破坏力特别大:

F-Secure 高级安全研究员 Harry Sintonen 表示,其实他们 2017 年 7 月就发现这个问题,他说:「这个攻击几乎看似简单,但有令人难以置信的破坏潜力。实际上,即使最严密的安全措施,也可让攻击者在本地端完全控制受害者工作用的笔记型电脑。」

邪恶女僕攻击

以下是如何利用这个 AMT 漏洞攻击的方法,目标是一台受密码保护的电脑(系统登入密码和 BIOS 密码):

    为了触发这个漏洞,攻击者需要以物理操作方式对目标电脑开机或重开机。在开机的启动程序(booting process)中按 CTRL-P,进入 Intel 管理引擎 BIOS 延伸模组(Intel Management Engine BIOS Extension ,缩写 MEBx)画面,正如示範影片的动作。MEBx 的预设密码是「admin」,大多数公司笔记型电脑很可能保持不变。登录后,攻击者可更改预设密码,并启用远程遥控。关闭 AMT「User opt-in」。

这样一来,受害者在电脑的任何操作,就永远翻不出攻击者的手掌心了。

这话怎幺说呢?因为在步骤四里,AMT 密码修改以后,使用者日后将永远无法再掌控这台笔电 AMT 的行为,而且不可逆;步骤五的 User opt-in 是笔电使用者的一次性密码,本来的设计是 IT 管理人员要启动远端遥控时,需要取得电脑使用者的同意──使用者需要用电话传达这个一次性密码,管理人员才能开通远端遥控。

然而现在这个功能可被关掉(缘由是方便企业 IT 管理人员远端维护),受害者将毫不知情被远端监控,这也不是你重灌系统可解决,因为漏洞在比作业系统更底层的主机板晶片里。

虽然如此,这不过就是另一个本地端漏洞嘛,又不是大家关注的网路资安漏洞,然而 Sintonen 进一步说明这个漏洞的危害严重度:「攻击者辨识、确认好要攻击的目标后,他们就可在机场、咖啡馆、饭店大厅等公开场所进行『邪恶女僕』式攻击。」

什幺是「邪恶女僕」(evil maid’ scenario)攻击呢? 基本上,就是谍报电影常出现的桥段──比如当目标人物下榻特定旅馆时,情报员贿赂饭店的女服务生,趁目标人物离开饭店时进入房间,翻找对方的行李甚至破解对方的锁来找到高价值的情报,然后赶在对方回来前恢复表面原状,而目标人物浑然不知机密已外洩,抑或破坏就在眼皮底下发生。所谓的「邪恶女僕」,就是靠你不会起疑心的人来做案。

电影《慕尼黑》就上演过这种桥段,以色列情报员乔装成不起眼的电信局人员,渗透进目标人物、一位阿拉伯学者家中帮忙「更换电话」,而被置换的电话里藏有遥控炸弹,得以暗杀对方。

Intel AMT 发现新漏洞,只要 30 秒骇客就可掌控你的电脑

电影《慕尼黑》画面。

读者若对详细剧情有兴趣就请自行参考电影。当年以色列情报员可是辛苦乔装私闯民宅,然后还要大费周章一番才达成任务,整个过程风险极大,需要的人数也很多,然而现在 AMT 漏洞可就让「办事」轻鬆多了。

在公开场所,只需要两名攻击者就可以得逞:由一名攻击者分散受害者的注意力,把对方带离开电脑,另一名攻击者只要短暂接触受害者的笔记型电脑,不用超过 1 分钟就可以开通 AMT 远端遥控,此后你的电脑再也不是你的电脑,而是坏人监控你的利器,甚至是攻击你公司 IT 设备网路的起点。

F-Secure 已透过美国电脑网路危机处理中心 CERT ,通知 Intel 和所有相关设备製造商这个安全问题,并迫切要求他们紧急处理。同时,F-Secure 也呼吁任何企业团体或组织使用者和 IT 管理员,应该把电脑 AMT 预设密码更改为强密码,或乾脆禁用 AMT,且不要让自己的笔记型电脑或桌上电脑处于无人看管的情况。

当然如果你曾有如此印象:「只不过离开电脑一下,回来时电脑画面跟离开前有点不一样(可能被重开机了)」,那你应该要检查一下 BIOS AMT 相关设定,也许你本来根本不知道自己电脑有 AMT 功能,也根本没使用过,然而前述 AMT 预设密码输入却无效,无法调整设定,那幺你该心里有数快做必要处置了。

上一篇:
下一篇: